Az - Key Vault

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Información Básica

De la documentación: Azure Key Vault es un servicio en la nube para almacenar y acceder de manera segura a secretos. Un secreto es cualquier cosa a la que deseas controlar estrictamente el acceso, como claves API, contraseñas, certificados o claves criptográficas. El servicio de Key Vault admite dos tipos de contenedores: bóvedas y grupos de módulos de seguridad de hardware (HSM) administrados. Las bóvedas admiten el almacenamiento de claves, secretos y certificados respaldados por software y HSM. Los grupos de HSM administrados solo admiten claves respaldadas por HSM. Consulta la visión general de la API REST de Azure Key Vault para obtener detalles completos.

El formato de URL es https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version} Donde:

vault-name es el nombre único global de la bóveda de claves
object-type puede ser "keys", "secrets" o "certificates"
object-name es el nombre único del objeto dentro de la bóveda de claves
object-version es generado por el sistema y se utiliza opcionalmente para dirigirse a una versión única de un objeto.

Para acceder a los secretos almacenados en la bóveda se pueden utilizar 2 modelos de permisos:

Política de acceso a la bóveda
Azure RBAC

Control de Acceso

El acceso a un recurso de Key Vault está controlado por dos planos:

El plano de gestión, cuyo objetivo es management.azure.com.
Se utiliza para gestionar la bóveda de claves y las políticas de acceso. Solo se admite el control de acceso basado en roles de Azure (RBAC).
El plano de datos, cuyo objetivo es <vault-name>.vault.azure.com.
Se utiliza para gestionar y acceder a los datos (claves, secretos y certificados) en la bóveda de claves. Esto admite políticas de acceso a la bóveda de claves o RBAC de Azure.

Un rol como Contributor que tiene permisos en el plano de gestión para gestionar políticas de acceso puede obtener acceso a los secretos modificando las políticas de acceso.

Roles Integrados de RBAC de Key Vault

Acceso a la Red

En Azure Key Vault, se pueden establecer reglas de firewall para permitir operaciones del plano de datos solo desde redes virtuales específicas o rangos de direcciones IPv4. Esta restricción también afecta el acceso a través del portal de administración de Azure; los usuarios no podrán listar claves, secretos o certificados en una bóveda de claves si su dirección IP de inicio de sesión no está dentro del rango autorizado.

Para analizar y gestionar estas configuraciones, puedes usar el Azure CLI:

az keyvault show --name name-vault --query networkAcls

El comando anterior mostrará la configuración del firewall de name-vault, incluyendo los rangos de IP habilitados y las políticas para el tráfico denegado.

Enumeración

# Get keyvault token
curl "$IDENTITY_ENDPOINT?resource=https://vault.azure.net&api-version=2017-09-01" -H secret:$IDENTITY_HEADER

# Connect with PS AzureAD
## $token from management API
Connect-AzAccount -AccessToken $token -AccountId 1937ea5938eb-10eb-a365-10abede52387 -KeyVaultAccessToken $keyvaulttoken

# List vaults
Get-AzKeyVault
# Get secrets names from the vault
Get-AzKeyVaultSecret -VaultName <vault_name>
# Get secret values
Get-AzKeyVaultSecret -VaultName <vault_name> -Name <secret_name> –AsPlainText

#!/bin/bash

# Dump all keyvaults from the subscription

# Define Azure subscription ID
AZ_SUBSCRIPTION_ID="your-subscription-id"

# Specify the filename for output
CSV_OUTPUT="vault-names-list.csv"

# Login to Azure account
az login

# Select the desired subscription
az account set --subscription $AZ_SUBSCRIPTION_ID

# Retrieve all resource groups within the subscription
AZ_RESOURCE_GROUPS=$(az group list --query "[].name" -o tsv)

# Initialize the CSV file with headers
echo "Vault Name,Associated Resource Group" > $CSV_OUTPUT

# Iterate over each resource group
for GROUP in $AZ_RESOURCE_GROUPS
do
# Fetch key vaults within the current resource group
VAULT_LIST=$(az keyvault list --resource-group $GROUP --query "[].name" -o tsv)

# Process each key vault
for VAULT in $VAULT_LIST
do
# Extract the key vault's name
VAULT_NAME=$(az keyvault show --name $VAULT --resource-group $GROUP --query "name" -o tsv)

# Append the key vault name and its resource group to the file
echo "$VAULT_NAME,$GROUP" >> $CSV_OUTPUT
done
done

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

PreviousAz - Intune NextAz - Logic Apps

Last updated 1 month ago